Показано с 1 по 19 из 19.

Помогите (заявка № 42380)

  1. #1
    Junior Member Репутация
    Регистрация
    24.03.2009
    Сообщений
    8
    Вес репутации
    32

    Exclamation Помогите

    При работе с литературным сайтом (hттp://www.strana-oz.ru/authors/?author=638), после скачивания медицинской статьи, комп(Win XP SP2, IE6.0.2900.2180.xpsp_sp2) заразился очень неприятным вирусом. К мышке намертво прикрепляется окно(что не даёт пользоваться мышкой) с рекламой гей-порно сайта и предложением послать смс(на популярные кидальные номера) для того, чтоб это всё отключить. Система была под NOD32 с актуальными базами. Сканирование винта с заражённого компа последними: др.Вебовским CureIt, касперовским Remuval Tool, NOD32 ничего не дало. Запустить Remuval Tool на заражённом не удалось, но нет уверенности, что это из-за вируса. Открыть на заражённом компе диспечер задач невозможно, точнее он его запускает и сразу сворачивает в трэй. При сканировании винта каспером 2009 с последними базами он вроде обнаружился эвристикой как "Trojan-Downloader.script.generic", но его удаление ничего не дало, в смысле окно с гей-информером никуда не делось...
    Изображения Изображения
    Последний раз редактировалось PavelA; 24.03.2009 в 11:24. Причина: Убил ссылки

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Скачай и запусти AVZ из моей подписи.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Junior Member Репутация
    Регистрация
    24.03.2009
    Сообщений
    8
    Вес репутации
    32

    для PavelA

    Цитата Сообщение от PavelA Посмотреть сообщение
    Скачай и запусти AVZ из моей подписи.
    Два вопроса:

    1. Именно этот? Просто свежий AVZ есть, со свежими базами...
    2. На заражённом компе запускать или можно просто винт просканировать?

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    589
    Делайте логи в скаченном avz

  6. #5
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    да, именно это. Запускать на зараженном.
    Можно вот этим попробовать z-oleg.com\avz.exe
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  7. #6
    Junior Member Репутация
    Регистрация
    24.03.2009
    Сообщений
    8
    Вес репутации
    32

    для PavelA

    Цитата Сообщение от PavelA Посмотреть сообщение
    да, именно это. Запускать на зараженном.
    Можно вот этим попробовать z-oleg.com\avz.exe
    Собственно заражённый винт на нормальном компе уже просканил. Однако что-то нашлось:

    E:\RECYCLER\S-1-5-21-1715567821-688789844-725345543-1003\Dc43.05\Fw Копцепция развития здравоохранения в области редких болезней.msg/{MS-OLE}/\__recip_version1.0_#00000001\__substg1.0_0FF60102 >>>>> Trojan.Kyjak

    E:\RECYCLER\S-1-5-21-1715567821-688789844-725345543-1003\Dc67.msg/{MS-OLE}/\__recip_version1.0_#00000008\__substg1.0_0FF60102 >>>>> Trojan.Kyjak

    Ни один авирь этого не видел, но это ни то, походу. По крайней мере удаление ничего не дало...


    P.S. Кстати, а по ссылке никто не ходил?

  8. #7
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Мне логи с системы нужны. Поизучаем, выдадим вердикт.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  9. #8
    Junior Member Репутация
    Регистрация
    24.03.2009
    Сообщений
    8
    Вес репутации
    32

    для PavelA

    Цитата Сообщение от PavelA Посмотреть сообщение
    Мне логи с системы нужны. Поизучаем, выдадим вердикт.
    Понимаю, просто работать в винде с клавы(без мыши), это то ещё удовольствие. Пока вроде скан на заражённом запустил, надеюсь и с логом всё плучится...

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    А что за мышь? Если какой-то драйвер для нее ставили - удалите его: ни мышь ни клава не требуют никаких доп. драйверов.

  11. #10
    Junior Member Репутация
    Регистрация
    24.03.2009
    Сообщений
    8
    Вес репутации
    32

    для Rene-gad

    Цитата Сообщение от Rene-gad Посмотреть сообщение
    А что за мышь? Если какой-то драйвер для нее ставили - удалите его: ни мышь ни клава не требуют никаких доп. драйверов.
    Не... Мышь стандартная, я выше писал, что окно с рекламой гей сайта и предложением заплатить за мышкой болтается. Можно только на кнопочку "отключить" нажать, остальному мешает...

  12. #11
    Junior Member Репутация
    Регистрация
    24.03.2009
    Сообщений
    8
    Вес репутации
    32

    PavelA

    Цитата Сообщение от PavelA Посмотреть сообщение
    Мне логи с системы нужны. Поизучаем, выдадим вердикт.
    Вот, лог с заражённого. Вызывает подозрение svchost, который в C:\Program Files\Microsoft Common лежит, а не в C:\WINDOWS\system32

    Причем, его удаление привело к тому, загрузка зависает на прорисовке рабочего стола, т.е. только картинка стола прорисовывается и все...

    Кстати, размер этого svchost 23216 вместо 14336...
    Вложения Вложения
    Последний раз редактировалось OLEGARX; 24.03.2009 в 14:22.

  13. #12
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Не занимайтесь самодеятельностью! Нужны 3 лога по Правилам.

    Выполнить: AVZ Файл Восст.системы п.9,6,8 отметить, нажать "Выполнить".
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  14. #13
    Junior Member Репутация
    Регистрация
    24.03.2009
    Сообщений
    8
    Вес репутации
    32

    для PavelA

    Цитата Сообщение от PavelA Посмотреть сообщение
    Не занимайтесь самодеятельностью! Нужны 3 лога по Правилам.
    Собственно с главной проблемой(гей-информером) справились сами. Процесс(mscmd.exe) просто из автозагрузки в настройке системы убрали, правда на него совершенно никакой авирь напрямую не показал, AVZ в том числе. Если надо сам вирус пришлю...

    А вот svchost про который раньше говорил, походу тоже троян и убрать его хочется... логи по правилам прикрепляю...

    ...Выполнить: AVZ Файл Восст.системы п.9,6,8 отметить, нажать "Выполнить".
    Насчет этого не понял. Сейчас это сделать? не дожидаясь заключения(скриптов) от Вас?
    Вложения Вложения
    Последний раз редактировалось OLEGARX; 25.03.2009 в 10:07.

  15. #14
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Выполнить:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Program Files\Microsoft Common\svchost.exe','');
     QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
     QuarantineFile('c:\huadio.tmp','');
     DeleteService('autorun');
     QuarantineFile('c:\windows\system32\mscmd.exe','');
     TerminateProcessByName('c:\windows\system32\mscmd.exe');
     DeleteFile('c:\windows\system32\mscmd.exe');
     DeleteFile('c:\huadio.tmp');
     DeleteFile('C:\WINDOWS\system32\MsSip1.dll');
     DeleteFile('C:\WINDOWS\system32\MsSip2.dll');
     DeleteFile('C:\WINDOWS\system32\MsSip3.dll');
     DeleteFile('C:\WINDOWS\system32\ntos.exe');
     DeleteFile('C:\Program Files\Microsoft Common\svchost.exe');
    BC_ImportAll;
    ExecuteRepair(9);
    ExecuteRepair(6);
    ExecuteRepair(8);
    ExecuteSysClean;
    BC_Activate;
    end.
    Сделать заново логи.
    Загрузить карантин по Правилам через http://virusinfo.info/upload_virus.php?tid=42380
    Да, и еще, после окончания лечения надо будет менять пароли.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  16. #15
    Junior Member Репутация
    Регистрация
    24.03.2009
    Сообщений
    8
    Вес репутации
    32

    для PavelA

    Цитата Сообщение от PavelA Посмотреть сообщение
    Выполнить:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Program Files\Microsoft Common\svchost.exe','');
     QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
    QuarantineFile('c:\huadio.tmp','');
     DeleteService('autorun');
     QuarantineFile('c:\windows\system32\mscmd.exe','');
     TerminateProcessByName('c:\windows\system32\mscmd.exe');
     DeleteFile('c:\windows\system32\mscmd.exe');
     DeleteFile('c:\huadio.tmp');
    DeleteFile('C:\WINDOWS\system32\MsSip1.dll');
    DeleteFile('C:\WINDOWS\system32\MsSip2.dll');
    DeleteFile('C:\WINDOWS\system32\MsSip3.dll');
    DeleteFile('C:\WINDOWS\system32\ntos.exe');
     DeleteFile('C:\Program Files\Microsoft Common\svchost.exe');
    BC_ImportAll;
    ExecuteRepair(9);
    ExecuteRepair(6);
    ExecuteRepair(8);
    ExecuteSysClean;
    BC_Activate;
    end.
    Специально для Вас снова запустил на компе вирус, скрипт лечения сработал нормально. Правда выделенного не было уже... Честно говоря не помню, чтоб это всё хоть чем-нибудь находилось и чистилось... Кстати, что за фиговина(C:\WINDOWS\system32\drivers\vdezmza1.sys 13312) во время лечения пролезть попыталась?

    Сделать заново логи.
    позже скину, если надо, сегодня не успею уже...

    Загрузить карантин по Правилам
    Загрузил...

  17. #16
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    C:\WINDOWS\system32\drivers\vdezmza1.sys - это нормальный файл, нужный для лечения.

    Все то, что написано в скрипте, когда-то жило на машине.
    ntos.exe - ворователь паролей.
    MsSip*.exe - это в инсталяшку Зверя зашито. Один раз выполняется, а из автозагрузки не убирается.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  18. #17
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1785
    vdezmza1.sys-драйвер AVZ...

  19. #18
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Цитата Сообщение от Гриша Посмотреть сообщение
    vdezmza1.sys-драйвер AVZ...
    Офф: Грише. С возвращением на службу.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  20. #19
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 2
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\program files\microsoft common\svchost.exe - Worm.Win32.AutoRun.addp
      2. c:\windows\system32\mscmd.exe - Trojan-Ransom.Win32.Gazon.c


  • Уважаемый(ая) OLEGARX, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00594 seconds with 17 queries